EuGH: DSGVO – Entschuldigung als immaterieller Schadensersatz

EuGH, Urteil vom 4.10.2024 – C-507/23; A gegen Patērētāju tiesību aizsardzības centrs

ECLI:EU:C:2024:854

Volltext: BB-Online BBL2024-2433-3

Tenor

1. Art. 82 Abs. 1 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) ist in Verbindung mit Art. 8 Abs. 1 der Charta der Grundrechte der Europäischen Union dahin auszulegen, dass ein Verstoß gegen Bestimmungen dieser Verordnung für sich genommen nicht ausreicht, um einen „Schaden“ im Sinne von Art. 82 Abs. 1 DSGVO darzustellen.

2. Art. 82 Abs. 1 der Verordnung 2016/679 ist dahin auszulegen, dass eine Entschuldigung einen angemessenen Ersatz eines immateriellen Schadens auf der Grundlage dieser Bestimmung darstellen kann, insbesondere, wenn es nicht möglich ist, die Lage vor dem Eintritt des Schadens wiederherzustellen, sofern diese Form des Schadenersatzes geeignet ist, den der betroffenen Person entstandenen Schaden in vollem Umfang auszugleichen.

3. Art. 82 Abs. 1 der Verordnung 2016/679 ist dahin auszulegen, dass er der Möglichkeit entgegensteht, die Haltung und die Beweggründe des Verantwortlichen zu berücksichtigen, um der betroffenen Person gegebenenfalls einen Schadenersatz zu gewähren, der geringer ist als der Schaden, der ihr konkret entstanden ist.

Aus den Gründen

1          Das Vorabentscheidungsersuchen betrifft die Auslegung von Art. 82 Abs. 1 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. 2016, L 119, S. 1, im Folgenden: DSGVO).

2          Es ergeht im Rahmen eines Rechtsstreits zwischen A und dem Patērētāju tiesību aizsardzības centrs (Verbraucherschutzbehörde, Lettland) (im Folgenden: PTAC) wegen Ersatz des immateriellen Schadens, den der Kläger des Ausgangsverfahrens nach eigener Aussage dadurch erlitten hat, dass das PTAC einige seiner personenbezogenen Daten ohne seine Zustimmung verarbeitet habe.

Rechtlicher Rahmen

Unionsrecht

3          Die Erwägungsgründe 1, 75, 85, 146 und 148 der DSGVO lauten:

„(1)       Der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten ist ein Grundrecht. Gemäß Artikel 8 Absatz 1 der Charta der Grundrechte der Europäischen Union (im Folgenden ‚Charta‘) sowie Artikel 16 Absatz 1 [AEUV] hat jede Person das Recht auf Schutz der sie betreffenden personenbezogenen Daten. …

(75)      Die Risiken für die Rechte und Freiheiten natürlicher Personen – mit unterschiedlicher Eintrittswahrscheinlichkeit und Schwere – können aus einer Verarbeitung personenbezogener Daten hervorgehen, die zu einem physischen, materiellen oder immateriellen Schaden führen könnte, insbesondere wenn die Verarbeitung zu … einer Rufschädigung … oder anderen erheblichen wirtschaftlichen oder gesellschaftlichen Nachteilen führen kann, wenn die betroffenen Personen um ihre Rechte und Freiheiten gebracht oder daran gehindert werden, die sie betreffenden personenbezogenen Daten zu kontrollieren, …

(85)      Eine Verletzung des Schutzes personenbezogener Daten kann – wenn nicht rechtzeitig und angemessen reagiert wird – einen physischen, materiellen oder immateriellen Schaden für natürliche Personen nach sich ziehen, wie etwa Verlust der Kontrolle über ihre personenbezogenen Daten oder Einschränkung ihrer Rechte, … Rufschädigung, … oder andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile für die betroffene natürliche Person. …

(146)    Der Verantwortliche oder der Auftragsverarbeiter sollte Schäden, die einer Person aufgrund einer Verarbeitung entstehen, die mit dieser Verordnung nicht im Einklang steht, ersetzen. … Der Begriff des Schadens sollte im Lichte der Rechtsprechung des Gerichtshofs weit auf eine Art und Weise ausgelegt werden, die den Zielen dieser Verordnung in vollem Umfang entspricht. Dies gilt unbeschadet von Schadenersatzforderungen aufgrund von Verstößen gegen andere Vorschriften des Unionsrechts oder des Rechts der Mitgliedstaaten. … Die betroffenen Personen sollten einen vollständigen und wirksamen Schadenersatz für den erlittenen Schaden erhalten. …

(148)    Im Interesse einer konsequenteren Durchsetzung der Vorschriften dieser Verordnung sollten bei Verstößen gegen diese Verordnung … Sanktionen einschließlich Geldbußen verhängt werden. Folgendem sollte jedoch gebührend Rechnung getragen werden: der Art, Schwere und Dauer des Verstoßes, dem vorsätzlichen Charakter des Verstoßes, den Maßnahmen zur Minderung des entstandenen Schadens, dem Grad der Verantwortlichkeit … und jedem anderen erschwerenden oder mildernden Umstand. …“

4          Art. 1 („Gegenstand und Ziele“) Abs. 2 DSGVO bestimmt:

„Diese Verordnung schützt die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten.“

5          Art. 4 („Begriffsbestimmungen“) DSGVO sieht vor:

„Im Sinne dieser Verordnung bezeichnet der Ausdruck:

1.         ‚personenbezogene Daten‘ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden ‚betroffene Person‘) beziehen; …

7.         ‚Verantwortlicher‘ die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; …

12.       ‚Verletzung des Schutzes personenbezogener Daten‘ eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden; …“

6          Nach Art. 6 („Rechtmäßigkeit der Verarbeitung“) Abs. 1 DSGVO ist die Verarbeitung nur rechtmäßig, wenn mindestens eine der darin angeführten Bedingungen erfüllt ist.

7          Kapitel VIII („Rechtsbehelfe, Haftung und Sanktionen“) der DSGVO enthält die Art. 77 bis 84 DSGVO.

8          Art. 82 („Haftung und Recht auf Schadenersatz“) DSGVO Abs. 1 und 2 sieht vor:

„(1)       Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.

(2)        Jeder an einer Verarbeitung beteiligte Verantwortliche haftet für den Schaden, der durch eine nicht dieser Verordnung entsprechende Verarbeitung verursacht wurde. …“

9          In Art. 83 („Allgemeine Bedingungen für die Verhängung von Geldbußen“) Abs. 2 DSGVO heißt es:

„… Bei der Entscheidung über die Verhängung einer Geldbuße und über deren Betrag wird in jedem Einzelfall Folgendes gebührend berücksichtigt:

a)         Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung sowie der Zahl der von der Verarbeitung betroffenen Personen und des Ausmaßes des von ihnen erlittenen Schadens;

b)         Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes;

c)         jegliche von dem Verantwortlichen oder dem Auftragsverarbeiter getroffenen Maßnahmen zur Minderung des den betroffenen Personen entstandenen Schadens; …

k)         jegliche anderen erschwerenden oder mildernden Umstände im jeweiligen Fall, wie unmittelbar oder mittelbar durch den Verstoß erlangte finanzielle Vorteile oder vermiedene Verluste.“

10        Art. 84 („Sanktionen“) Abs. 1 lautet:

„Die Mitgliedstaaten legen die Vorschriften über andere Sanktionen für Verstöße gegen diese Verordnung – insbesondere für Verstöße, die keiner Geldbuße gemäß Artikel 83 unterliegen – fest und treffen alle zu deren Anwendung erforderlichen Maßnahmen. Diese Sanktionen müssen wirksam, verhältnismäßig und abschreckend sein.“

Lettisches Recht

11        Art. 14 („Auferlegung der Verpflichtung zum Ersatz immaterieller Schäden“) des Valsts pārvaldes iestāžu nodarīto zaudējumu atlīdzināšanas likums (Gesetz über die vermögensrechtliche Haftung der öffentlichen Verwaltung) vom 2. Juni 2005 (Latvijas Vēstnesis, 2005, Nr. 96) bestimmt in der auf den Ausgangsrechtsstreit anwendbaren Fassung (im Folgenden: Gesetz von 2005):

„(1)       Die Verpflichtung zum Ersatz immaterieller Schäden wird nach Maßgabe der Bedeutung der gesetzlich geschützten Rechte und Interessen, in die der Eingriff erfolgt ist, nach Maßgabe der Schwere des jeweiligen Eingriffs im Licht der Begründung und der tatsächlichen und rechtlichen Beweggründe für die Handlung der Behörde, nach Maßgabe des Verhaltens und der Mitverantwortlichkeit des Geschädigten und nach Maßgabe der weiteren im Einzelfall relevanten Umstände auferlegt.

(2)        Die Wiedergutmachung des immateriellen Schadens erfolgt durch die Wiederherstellung des Zustands vor der Verursachung des Schadens bzw. bei vollständiger oder teilweiser Unmöglichkeit oder Unangemessenheit dieser Lösung durch eine Entschuldigung oder durch die Zahlung einer angemessenen Entschädigung.

(3)        Stellt die Behörde oder das Gericht nach Prüfung der Umstände des Einzelfalls fest, dass der Eingriff in die gesetzlich geschützten Rechte oder Interessen des Einzelnen nicht schwerwiegend ist, so kann eine schriftliche oder öffentliche Entschuldigung einen ausschließlichen oder ergänzenden Ersatz des immateriellen Schadens darstellen.

(4)        Schadenersatz für immaterielle Schäden kann höchstens auf 7 000 Euro festgesetzt werden. Wird ein schwerwiegender immaterieller Schaden verursacht, so kann die Entschädigung auf höchstens 10 000 Euro festgesetzt werden; bei Verlust des Lebens oder besonders schweren Gesundheitsschäden kann sich der Höchstbetrag der Entschädigung auf bis zu 30 000 Euro belaufen.“

Ausgangsverfahren und Vorlagefragen

12        Der Kläger des Ausgangsverfahrens ist in Lettland als Journalist mit Fachkenntnissen im Automobilbereich bekannt.

13        Im Rahmen einer Kampagne zur Sensibilisierung der Verbraucher für die Risiken beim Kauf eines Gebrauchtwagens verbreitete das PTAC auf mehreren Websites eine Videosequenz, in der u. a. eine Person zu sehen war, die den Kläger des Ausgangsverfahrens imitierte, ohne dass dieser dem zugestimmt hätte.

14        Obwohl der Kläger des Ausgangsverfahrens der Anfertigung und Verbreitung dieser Videosequenz widersprach, blieb sie online verfügbar. Zudem lehnte das PTAC seine ausdrücklichen Forderungen nach Beendigung der Verbreitung und Schadenersatz wegen Rufschädigung ab.

15        Der Kläger des Ausgangsverfahrens rief daraufhin die Administratīvā rajona tiesa (Bezirksverwaltungsgericht, Lettland) an und beantragte, festzustellen, dass die Handlungen des PTAC, die darin bestanden, seine personenbezogenen Daten ohne seine Zustimmung zu verwenden und zu verbreiten, rechtswidrig waren, und ihm Ersatz seines immateriellen Schadens in Form einer Entschuldigung und einer Entschädigung in Höhe von 2 000 Euro zuzusprechen. Das Gericht erklärte diese Handlungen für rechtswidrig und gab dem PTAC auf, sie zu unterlassen, sich öffentlich beim Kläger des Ausgangsverfahrens zu entschuldigen und ihm eine Entschädigung in Höhe von 100 Euro für den ihm entstandenen immateriellen Schaden zu leisten.

16        Mit Urteil vom 20. Mai 2023 bestätigte die Administratīvā apgabaltiesa (Regionalverwaltungsgericht, Lettland) in der Berufungsinstanz die Rechtswidrigkeit der Verarbeitung personenbezogener Daten durch das PTAC auf der Grundlage von Art. 6 DSGVO und ordnete nach Art. 14 des Gesetzes von 2005 an, dieses Verhalten zu beenden und eine Entschuldigung auf den Websites zu veröffentlichen, auf denen die Videosequenz verbreitet worden war. Den Antrag auf finanzielle Entschädigung für den dem Kläger des Ausgangsverfahrens entstandenen immateriellen Schaden wies das Gericht hingegen zurück. Hierzu führte es u. a. aus, dass der begangene Verstoß nicht schwerwiegend sei, da die Videosequenz dazu gedient habe, eine im öffentlichen Interesse liegende Aufgabe zu erfüllen, und nicht dazu, den Ruf, die Ehre und die Würde des Klägers des Ausgangsverfahrens zu schädigen. Außerdem sei dieser Verstoß darauf zurückzuführen, dass das PTAC komplexe Rechtsvorschriften falsch ausgelegt habe.

17        In seiner Kassationsbeschwerde zur Augstākā tiesa (Senāts) (Oberstes Gericht, Lettland), dem vorlegenden Gericht in der vorliegenden Rechtssache, wendet sich der Kläger des Ausgangsverfahrens gegen dieses Urteil, soweit darin die finanzielle Entschädigung für seinen immateriellen Schaden abgelehnt wurde. Er macht im Wesentlichen geltend, dass das Berufungsgericht Fehler bei der Beurteilung der Schwere der Verletzung seiner Rechte und bei der Bewertung des daraus resultierenden Schadens begangen habe. Schadenersatz in Form einer Entschuldigung sei im Hinblick auf Art. 82 DSGVO weder fair noch angemessen.

18        Das vorlegende Gericht ist vor dem Hintergrund des Urteils vom 4. Mai 2023, Österreichische Post (Immaterieller Schaden im Zusammenhang mit der Verarbeitung personenbezogener Daten) (C-300/21, im Folgenden: Urteil Österreichische Post, EU:C:2023:370), erstens der Ansicht, dass Art. 82 DSGVO es nicht zulasse, Schadenersatz wegen eines Verstoßes gegen diese Verordnung anzuordnen, ohne zuvor einen durch diesen Verstoß verursachten Schaden bestimmt zu haben. Im vorliegenden Fall habe das Berufungsgericht gegen Art. 82 DSGVO verstoßen, indem es einen solchen Schadenersatz angeordnet habe, ohne eine Verletzung des Rufs, der Ehre und der Würde des Klägers des Ausgangsverfahrens festgestellt zu haben. In diesem Zusammenhang möchte das vorlegende Gericht wissen, ob im Hinblick auf Art. 1 Abs. 2 DSGVO und die Erwägungsgründe 75, 85 und 146 der DSGVO eine rechtswidrige Verarbeitung personenbezogener Daten für sich genommen auch dann eine Verletzung des in Art. 8 Abs. 1 der Charta garantierten Grundrechts auf Schutz dieser Daten und folglich einen „Schaden“ im Sinne von Art. 82 DSGVO darstellen kann, wenn keine Verletzung des Rufs, der Ehre und der Würde der betroffenen Person nachgewiesen ist.

19        Zweitens stellt das vorlegende Gericht die Frage nach einem angemessenen Ersatz eines immateriellen Schadens nach Art. 82 Abs. 1 DSGVO in seiner Auslegung durch das Urteil vom 4. Mai 2023, Österreichische Post (C-300/21, EU:C:2023:370). Es möchte wissen, ob die Verpflichtung, sich bei der geschädigten Person zu entschuldigen, die nach lettischem Recht eine eigenständige oder ergänzende Form des Schadenersatzes darstellen kann, in bestimmten Fällen als ausreichender Schadenersatz im Sinne von Art. 82 Abs. 1 angesehen werden kann.

20        Drittens und letztens wirft das vorlegende Gericht im Hinblick auf Rn. 58 dieses Urteils die Frage auf, ob Art. 82 Abs. 1 DSGVO es gestattet, bei der Beurteilung der Form und der Höhe des geschuldeten Schadenersatzes Umstände zu berücksichtigen, die die Handlungen desjenigen, der gegen die Bestimmungen dieser Verordnung verstößt, begleiten oder sogar rechtfertigen.

21        Unter diesen Umständen hat die Augstākā tiesa (Senāts) (Oberstes Gericht) beschlossen, das Verfahren auszusetzen und dem Gerichtshof folgende Fragen zur Vorabentscheidung vorzulegen:

1.         Ist Art. 82 Abs. 1 DSGVO dahin auszulegen, dass die rechtswidrige Verarbeitung personenbezogener Daten als Verstoß gegen diese Verordnung für sich genommen einen ungerechtfertigten Eingriff in das subjektive Recht einer Person auf den Schutz ihrer Daten und einen dieser Person zugefügten Schaden darstellen kann?

2.         Ist Art. 82 Abs. 1 DSGVO dahin auszulegen, dass er es gestattet, dass dann, wenn keine Möglichkeit zur Wiederherstellung des Zustands vor der Verursachung des Schadens besteht, als einziger Ersatz für den immateriellen Schaden die Verpflichtung auferlegt wird, sich zu entschuldigen?

3.         Ist Art. 82 Abs. 1 DSGVO dahin auszulegen, dass er es gestattet, dass Umstände, die auf die Haltung und die Beweggründe der Person, die die Daten verarbeitet, hindeuten (beispielsweise die Notwendigkeit, einen im öffentlichen Interesse liegenden Auftrag zu erfüllen, das Fehlen einer Absicht, die betroffene Person zu schädigen, oder Schwierigkeiten, den rechtlichen Rahmen zu verstehen), die Festsetzung eines geringeren Ersatzes für diesen Schaden rechtfertigen?

Zu den Vorlagefragen

Zur ersten Frage

22        Mit seiner ersten Frage möchte das vorlegende Gericht im Wesentlichen wissen, ob Art. 82 Abs. 1 DSGVO in Verbindung mit Art. 8 Abs. 1 der Charta dahin auszulegen ist, dass ein Verstoß gegen Bestimmungen dieser Verordnung für sich genommen ausreicht, um einen „Schaden“ im Sinne von Art. 82 Abs. 1 DSGVO darzustellen.

23        Nach Art. 82 Abs. 1 DSGVO hat „[j]ede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, … Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter“.

24        Der Gerichtshof hat Art. 82 Abs. 1 DSGVO wiederholt dahin ausgelegt, dass der bloße Verstoß gegen diese Verordnung nicht ausreicht, um auf dieser Grundlage einen Schadenersatzanspruch zu begründen, da das Vorliegen eines materiellen oder immateriellen „Schadens“ eine der Voraussetzungen für den in dieser Bestimmung vorgesehenen Schadenersatzanspruch darstellt, ebenso wie das Vorliegen eines Verstoßes gegen die Bestimmungen der Verordnung und eines Kausalzusammenhangs zwischen dem Schaden und dem Verstoß, wobei diese drei Voraussetzungen kumulativ sind. Somit muss die Person, die auf der Grundlage dieser Bestimmung den Ersatz eines immateriellen Schadens verlangt, nicht nur den Verstoß gegen Bestimmungen der DSGVO nachweisen, sondern auch, dass ihr durch diesen Verstoß ein solcher Schaden tatsächlich entstanden ist (vgl. in diesem Sinne Urteile vom 4. Mai 2023, Österreichische Post, C-300/21, EU:C:2023:370, Rn. 32, 33, 42 und 50, vom 20. Juni 2024, Scalable Capital, C-182/22 und C-189/22, EU:C:2024:531, Rn. 41 und 42, sowie vom 20. Juni 2024, PS [Fehlerhafte Anschrift], C-590/22, EU:C:2024:536, Rn. 22, 24, 25 und 27).

25        Da diese drei kumulativen Voraussetzungen erforderlich und ausreichend für einen Schadenersatzanspruch im Sinne von Art. 82 Abs. 1 DSGVO sind (Urteil vom 14. Dezember 2023, Gemeinde Ummendorf, C-456/22, EU:C:2023:988, Rn. 14), kann dieser Anspruch nicht von dem zusätzlichen Nachweis abhängig gemacht werden, dass das rechtliche Interesse einer betroffenen Person im Sinne von Art. 4 Nr. 1 DSGVO, das durch diese Verordnung geschützt werden soll, nämlich das Recht einer solchen Person auf Schutz ihrer personenbezogenen Daten, ungerechtfertigt verletzt wurde.

26        Der Gerichtshof hat außerdem entschieden, dass, auch wenn die Bestimmung der DSGVO, gegen die verstoßen wurde, natürlichen Personen Rechte verleihen sollte, ein solcher Verstoß für sich genommen keinen „immateriellen Schaden“ im Sinne dieser Verordnung darstellen und keinen entsprechenden Schadenersatzanspruch begründen kann, da die Verordnung verlangt, dass auch die beiden anderen in Rn. 24 des vorliegenden Urteils genannten Voraussetzungen erfüllt sind (vgl. in diesem Sinne Urteil vom 11. April 2024, juris, C-741/21, EU:C:2024:288, Rn. 40).

27        Diese Auslegung von Art. 82 Abs. 1 DSGVO wird durch die Erwägungsgründe 75, 85 und 146 der DSGVO bestätigt. Aus diesen Erwägungsgründen ergibt sich nämlich erstens, dass der Eintritt eines Schadens im Rahmen einer rechtswidrigen Verarbeitung personenbezogener Daten eine nur potenzielle und keine automatische Folge einer solchen Verarbeitung ist, zweitens, dass ein Verstoß gegen die DSGVO nicht zwangsläufig zu einem Schaden führt, und drittens, dass ein Kausalzusammenhang zwischen dem fraglichen Verstoß und dem der betroffenen Person entstandenen Schaden bestehen muss, um einen Schadenersatzanspruch zu begründen (vgl. in diesem Sinne Urteil vom 4. Mai 2023, Österreichische Post, C-300/21, EU:C:2023:370, Rn. 37).

28        Die vorgenommene Auslegung ist somit geeignet, den Schutz personenbezogener Daten als Grundrecht zu gewährleisten, das in Art. 8 Abs. 1 der Charta, auf den der erste Erwägungsgrund der DSGVO verweist, verankert ist.

29        Nach alledem ist auf die erste Frage zu antworten, dass Art. 82 Abs. 1 DSGVO in Verbindung mit Art. 8 Abs. 1 der Charta dahin auszulegen ist, dass ein Verstoß gegen Bestimmungen dieser Verordnung für sich genommen nicht ausreicht, um einen „Schaden“ im Sinne von Art. 82 Abs. 1 DSGVO darzustellen.

Zur zweiten Frage

30        Mit seiner zweiten Frage möchte das vorlegende Gericht im Wesentlichen wissen, ob Art. 82 Abs. 1 DSGVO dahin auszulegen ist, dass eine Entschuldigung einen angemessenen Ersatz eines immateriellen Schadens auf der Grundlage dieser Bestimmung darstellen kann, insbesondere, wenn es nicht möglich ist, die Lage vor dem Eintritt des Schadens wiederherzustellen.

31        Nach ständiger Rechtsprechung ist es nach dem Grundsatz der Verfahrensautonomie Sache der innerstaatlichen Rechtsordnung jedes Mitgliedstaats, die verfahrensrechtlichen Modalitäten der Rechtsbehelfe, die zum Schutz der Rechte der Bürger bestimmt sind, festzulegen, vorausgesetzt allerdings, dass diese Modalitäten bei unter das Unionsrecht fallenden Sachverhalten nicht ungünstiger sind als diejenigen, die gleichartige Sachverhalte regeln, die dem innerstaatlichen Recht unterliegen (Äquivalenzgrundsatz), und dass sie die Ausübung der durch das Unionsrecht verliehenen Rechte nicht praktisch unmöglich machen oder übermäßig erschweren (Effektivitätsgrundsatz) (Urteile vom 4. Mai 2023, Österreichische Post, C-300/21, EU:C:2023:370, Rn. 53, und vom 20. Juni 2024, Scalable Capital, C-182/22 und C-189/22, EU:C:2024:531, Rn. 32).

32        Da die DSGVO keine Bestimmung enthält, die Regeln für die Bemessung des Schadenersatzes festlegt, der aufgrund des in Art. 82 dieser Verordnung verankerten Schadenersatzanspruchs geschuldet wird, haben die nationalen Gerichte zu diesem Zweck die innerstaatlichen Vorschriften der einzelnen Mitgliedstaaten über den Umfang der finanziellen Entschädigung anzuwenden, sofern die unionsrechtlichen Grundsätze der Äquivalenz und der Effektivität beachtet werden (vgl. in diesem Sinne Urteile vom 4. Mai 2023, Österreichische Post, C-300/21, EU:C:2023:370, Rn. 54 und 59, vom 20. Juni 2024, Scalable Capital, C-182/22 und C-189/22, EU:C:2024:531, Rn. 27 und 33, sowie vom 20. Juni 2024, PS [Fehlerhafte Anschrift], C-590/22, EU:C:2024:536, Rn. 40).

33        Was die Wahrung des Äquivalenzgrundsatzes betrifft, verfügt der Gerichtshof über keinen Anhaltspunkt dafür, dass sich dieser Grundsatz im vorliegenden Ausgangsrechtsstreit konkret auswirken könnte.

34        Was die Wahrung des Effektivitätsgrundsatzes angeht, bedingt die ausschließlich ausgleichende Funktion des in Art. 82 Abs. 1 DSGVO vorgesehenen Schadenersatzanspruchs, dass die Kriterien für die Bemessung des nach diesem Artikel geschuldeten Schadenersatzes innerhalb der Rechtsordnung der einzelnen Mitgliedstaaten festzulegen sind, wobei ein solcher Schadenersatz vollständig und wirksam sein muss, ohne dass ein solcher vollumfänglicher Ausgleich die Verhängung von Strafschadenersatz erfordert (vgl. in diesem Sinne Urteile vom 4. Mai 2023, Österreichische Post, C-300/21, EU:C:2023:370, Rn. 57 und 58, vom 20. Juni 2024, Scalable Capital, C-182/22 und C-189/22, EU:C:2024:531, Rn. 23, 24, 35, 36 und 43, sowie vom 20. Juni 2024, PS [Fehlerhafte Anschrift], C-590/22, EU:C:2024:536, Rn. 42).

35        Der Gerichtshof hat ferner anerkannt, dass ein nationales Gericht bei fehlender Schwere des der betroffenen Person entstandenen Schadens diesen ausgleichen kann, indem es dieser Person einen geringfügigen Schadenersatz zuspricht, sofern die geringe Höhe des gewährten Schadenersatzes geeignet ist, den Schaden in vollem Umfang auszugleichen; es ist Sache des nationalen Gerichts, dies zu prüfen (vgl. in diesem Sinne Urteil vom 20. Juni 2024, Scalable Capital, C-182/22 und C-189/22, EU:C:2024:531, Rn. 46).

36        Art. 82 Abs. 1 DSGVO verwehrt es auch nicht, dass eine Entschuldigung einen eigenständigen oder ergänzenden Ersatz eines immateriellen Schadens darstellen kann, wie dies vorliegend Art. 14 des Gesetzes von 2005 vorsieht, sofern eine solche Form des Schadenersatzes die Grundsätze der Äquivalenz und der Effektivität wahrt, insbesondere, da er es ermöglichen muss, den immateriellen Schaden, der durch den Verstoß gegen diese Verordnung konkret entstanden ist, in vollem Umfang auszugleichen; es ist Sache des angerufenen nationalen Gerichts, dies anhand der Umstände des Einzelfalls zu prüfen.

37        Nach alledem ist auf die zweite Frage zu antworten, dass Art. 82 Abs. 1 DSGVO dahin auszulegen ist, dass eine Entschuldigung einen angemessenen Ersatz eines immateriellen Schadens auf der Grundlage dieser Bestimmung darstellen kann, insbesondere, wenn es nicht möglich ist, die Lage vor dem Eintritt des Schadens wiederherzustellen, sofern diese Form des Schadenersatzes geeignet ist, den der betroffenen Person entstandenen Schaden in vollem Umfang auszugleichen.

Zur dritten Frage

38        Mit seiner dritten Frage möchte das vorlegende Gericht im Wesentlichen wissen, ob Art. 82 Abs. 1 DSGVO dahin auszulegen ist, dass er der Möglichkeit entgegensteht, die Haltung und die Beweggründe des Verantwortlichen zu berücksichtigen, um der betroffenen Person gegebenenfalls einen Schadenersatz zu gewähren, der geringer ist als der Schaden, der ihr konkret entstanden ist.

39        Erstens ist Art. 83 DSGVO in Verbindung mit dem 148. Erwägungsgrund der DSGVO zu entnehmen, dass für die Entscheidung, ob und in welcher Höhe eine Geldbuße zu verhängen ist, als „erschwerender oder mildernder Umstand“ u. a. Kriterien im Zusammenhang mit der Haltung und den Beweggründen des Verantwortlichen zu berücksichtigen sind. In Art. 82 DSGVO werden diese Kriterien hingegen nicht erwähnt, und im Übrigen auch nicht im 146. Erwägungsgrund der DSGVO, in dem es speziell um den Schadenersatzanspruch nach Art. 82 DSGVO geht.

40        Der fehlende Verweis auf solche Kriterien ist dadurch gerechtfertigt, dass Art. 82 DSGVO – anders als andere, ebenfalls in Kapitel VIII dieser Verordnung enthaltene Bestimmungen, nämlich die Art. 83 und 84, die im Wesentlichen einen Strafzweck haben, da sie die Verhängung von Geldbußen bzw. anderen Sanktionen erlauben – ausschließlich eine ausgleichende Funktion hat, denn eine auf Art. 82 DSGVO gestützte – insbesondere finanzielle – Entschädigung muss es ermöglichen, den entstandenen Schaden in vollem Umfang auszugleichen (vgl. in diesem Sinne Urteile vom 4. Mai 2023, Österreichische Post, C-300/21, EU:C:2023:370, Rn. 38 und 40, sowie vom 20. Juni 2024, Scalable Capital, C-182/22 und C-189/22, EU:C:2024:531, Rn. 22).

41        Angesichts der Unterschiede im Wortlaut und in der Zielsetzung, die zwischen Art. 82 DSGVO im Licht des 146. Erwägungsgrundes dieser Verordnung und ihrem Art. 83 im Licht ihres 148. Erwägungsgrundes bestehen, kann daher nicht davon ausgegangen werden, dass die in Art. 83 DSGVO speziell angegebenen Bemessungskriterien im Rahmen von Art. 82 DSGVO entsprechend anwendbar sind (Urteil vom 20. Juni 2024, PS (Fehlerhafte Anschrift), C-590/22, EU:C:2024:536, Rn. 43 und die dort angeführte Rechtsprechung). Diese Feststellung gilt insbesondere für die Festsetzung der Höhe des auf Art. 82 DSGVO gestützten Schadenersatzanspruchs (vgl. in diesem Sinne Urteil vom 20. Juni 2024, PS [Fehlerhafte Anschrift], C-590/22, EU:C:2024:536, Rn. 39 und 44), sowie allgemeiner für die Bestimmung der finanziellen oder sonstigen Form und der Höhe eines solchen Schadenersatzes.

42        Zweitens schließt die ausschließlich ausgleichende Funktion des in Art. 82 Abs. 1 DSGVO verankerten Schadenersatzanspruchs es aus, dass der Schweregrad und die etwaige Vorsätzlichkeit des Verstoßes gegen die Verordnung, den der Verantwortliche begangen hat, für den Ersatz eines Schadens auf der Grundlage dieser Bestimmung berücksichtigt wird (vgl. in diesem Sinne Urteil vom 20. Juni 2024, Scalable Capital, C-182/22 und C-189/22, EU:C:2024:531, Rn. 28 bis 30).

43        In Anbetracht der ausschließlich ausgleichenden und nicht strafenden Funktion dieses Schadenersatzanspruchs kann sich die Schwere eines solchen Verstoßes nicht auf die Höhe des auf der Grundlage von Art. 82 Abs. 1 DSGVO gewährten Schadenersatzes auswirken und darf der Schadenersatz nicht in einer Höhe bemessen werden, die über den vollständigen Ausgleich des Schadens hinausgeht (vgl. in diesem Sinne Urteil vom 20. Juni 2024, PS (Fehlerhafte Anschrift), C-590/22, EU:C:2024:536, Rn. 41 und die dort angeführte Rechtsprechung). Um die Höhe einer solchen finanziellen Entschädigung festzulegen, ist allein der von der betroffenen Person konkret erlittene Schaden zu berücksichtigen (vgl. in diesem Sinne Urteil vom 11. April 2024, juris, C-741/21, EU:C:2024:288, Rn. 64).

44        Zudem würde die ausschließlich ausgleichende Funktion von Art. 82 Abs. 1 DSGVO nicht beachtet, wenn die Haltung und die Beweggründe des Verantwortlichen berücksichtigt würden, um die Form des auf der Grundlage dieser Bestimmung gewährten Schadenersatzes zu bestimmen oder um einen Schadenersatz zu gewähren, der hinter dem vollständigen Ausgleich des der betroffenen Person entstandenen Schadens „zurückbleibt“, wie dies das vorlegende Gericht in der vorliegenden Rechtssache in Betracht zieht.

45        Nach alledem ist auf die dritte Frage zu antworten, dass Art. 82 Abs. 1 DSGVO dahin auszulegen ist, dass er der Möglichkeit entgegensteht, die Haltung und die Beweggründe des Verantwortlichen zu berücksichtigen, um der betroffenen Person gegebenenfalls einen Schadenersatz zu gewähren, der geringer ist als der Schaden, der ihr konkret entstanden ist.

Kosten

46        Für die Beteiligten des Ausgangsverfahrens ist das Verfahren Teil des beim vorlegenden Gericht anhängigen Verfahrens; die Kostenentscheidung ist daher Sache dieses Gerichts. Die Auslagen anderer Beteiligter für die Abgabe von Erklärungen vor dem Gerichtshof sind nicht erstattungsfähig.